Recente iteraties van de Raspberry Robin-malware hebben alarm geslagen onder cybersecurity-experts vanwege hun toegenomen stealth en gebruik van eendaagse aanvallen. (n-dag, of bekend) exploits gericht op kwetsbare systemen. Deze exploits, ontworpen om recentelijk gepatchte kwetsbaarheden te benutten, profiteren van vertragingen bij de implementatie van patches, vormt een grote uitdaging voor verdedigers.
Frambozen Robin-details
| Naam | Frambozen Robin |
| Type | Malware, Worm |
| Removal Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
Technisch overzicht van Raspberry Robin
Frambozen Robin, aanvankelijk geïdentificeerd door Rode Kanarie in 2021, functioneert als een worm voornamelijk verzonden via verwijderbare opslagapparaten zoals USB-drives. Terwijl de makers ervan onbekend blijven, de malware is in verband gebracht met verschillende dreigingsactoren, waaronder bekende ransomwarebendes zoals EvilCorp en FIN11. Na een tijdje, Frambozen Robin is geëvolueerd, het integreren van nieuwe ontwijkingstechnieken en distributiemethoden, zoals het laten vallen van kwaadaardige archiefbestanden via Discord.
Het exploiteren van N-Day-kwetsbaarheden
Recente campagnes van Raspberry Robin hebben een verfijnde aanpak gedemonstreerd voor het exploiteren van n-day-fouten, zoals CVE-2023-36802 en CVE-2023-29360, gericht op Microsoft Streaming Service Proxy en het Windows TPM Device Driver, respectievelijk. Opmerkelijk, de malware begon kort na de openbaarmaking ervan gebruik te maken van deze kwetsbaarheden, wat een snelle aanpassing en toegang tot het exploiteren van codebronnen aangeeft.
Checkpoints rapport benadrukt dat Raspberry Robin minder dan een maand na de openbaarmaking ervan deze kwetsbaarheden begon te misbruiken met behulp van toen nog onbekende exploits, in juni 13 en september 12, 2023. Deze snelle ommekeer suggereert dat de exploitanten van de malware snel na de onthulling toegang hebben tot het exploiteren van codebronnen, waarschijnlijk van externe leveranciers of ondergrondse markten.
Met betrekking tot CVE-2023-36802, waarmee aanvallers privileges kunnen verhogen naar het SYSTEEM-niveau, een exploit was naar verluidt sinds februari te koop op het Dark Web 2023, enkele maanden voordat Microsoft het probleem erkende en aanpakte. Deze tijdlijn toont de behendigheid van Raspberry Robin bij het verwerven en gebruiken van exploits kort na de onthulling ervan.
Geavanceerde ontwijkingstactieken gebruiken
Naast het uitbuiten van kwetsbaarheden, de malware heeft zijn ontwijkingstactieken ontwikkeld om beveiligingsmaatregelen effectief te omzeilen. Het beëindigt specifieke processen met betrekking tot Gebruikersaccountbeheer (UAC) en patcht API's om detectie door beveiligingsproducten te omzeilen. Bovendien, de malware maakt gebruik van tactieken om systeemuitschakelingen te voorkomen, het garanderen van ononderbroken kwaadaardige activiteiten.
In het rapport van Check Point wordt ook opgemerkt dat Raspberry Robin nu controleert of bepaalde API's beschikbaar zijn, zoals 'GetUserDefaultLangID’ en 'GetModuleHandleW', zijn verslaafd door de eerste byte van de API-functie te vergelijken om eventuele monitoringprocessen door beveiligingsproducten te detecteren. Dit duidt op een proactieve aanpak van de malware om detectie door beveiligingstools te omzeilen.
Om zijn communicatie te verbergen, de dreiging maakt gebruik van Tor-domeinen om de initiële verbindingen onschadelijk te laten lijken. Bovendien, de malware maakt nu gebruik van PAExec.exe in plaats van PsExec.exe voor het downloaden van payloads, het verbeteren van de stealth-mogelijkheden en het omzeilen van detectie.
De evolutie van Raspberry Robin: Conclusie
Terwijl Raspberry Robin blijft evolueren, het vormt een aanhoudende bedreiging voor de cyberveiligheid. Met zijn vermogen om zich snel aan te passen aan nieuwe kwetsbaarheden en detectie te omzeilen, de verdediging hiertegen vereist proactieve maatregelen. Het rapport van Check Point biedt indicatoren van compromissen om organisaties te helpen de dreiging van Raspberry Robin te identificeren en te beperken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: